20080325 - 801 - Scriptie - definitief - Vurore

More documents

Recommendations

Info

VIR 2007 en beveiligingBij systemen die onderdeel zijn van een keten, maakt het lijnmanagement via eenService Level Agreement (SLA) of een andere vorm van een dienstenovereenkomst,afspraken over de normen waaraan de keten moet voldoen.Daarnaast kan gebruik gemaakt worden van een Third Party Mededeling (TPM)waarin een onafhankelijke partij een verklaring afgeeft over het niveau vanbeveiliging binnen een organisatie.Hiermee wordt een garantie afgegeven dat de andere organisatie in de ketenvoldoet aan een vooraf vastgesteld beveiligingsniveau.Voor de beschikbaarheid van geautomatiseerde of handmatige (papieren archief)informatiesystemen worden tegenwoordig meestal Service Level Agreements (SLA) –of vergelijkbare overeenkomsten met een andere benaming – afgesloten tussen deeigenaar van het informatiesysteem (uiteindelijk lijnmanagement) en de ITdienstenleverancier.Beschikbaarheid is meer en meer het werkterrein van de beheerder en wordt vooralmet techniek gerealiseerd. De beheerder is verantwoordelijk voor het correct enbeheerst uitvoeren van de afspraken uit de SLA en rapporteert hierover aan deopdrachtgever. Voor de informatiebeveiligingsfunctie rest vooral het toezicht op demaatregelen die waarborgen, dat informatie niet verloren gaat, indien zich ernstigeproblemen voordoen.Code voor Informatiebeveiliging BS 7799-1:2000In de CvI wordt alleen gesproken over de contracten die behoren bij outsourcing ende bijbehorende beveiligingseisen:De beveiligingseisen van een organisatie die het beheer van een deel of alleinformatiesystemen, netwerken en/of desktopomgevingen uitbesteedt, dienen ineen contract tussen twee partijen te worden overeengekomen en vastgelegd.Opgenomen zou moeten worden:hoe aan wettelijke eisen wordt voldaan;welke voorzieningen zijn getroffen om bewustwording te waarborgen;hoe de integriteit en vertrouwelijkheid van de kernactiviteiten van degebruikersorganisatie zijn geborgd;welke fysieke en logische beheersmaatregelen m.b.t. gevoelige informatie zijngetroffen;beschikbaarheid van de services in geval van een calamiteit;welke niveaus van fysieke beveiliging worden geleverd;het recht om te auditenAfstudeerscriptie team <strong>801</strong> blz. 38 van 49
ITIL Security ManagementITIL is een publicatie van de “beste praktijkoplossingen” op het gebied van beheervan Informatie Technologie. Het geeft richtlijnen hoe een IT-serviceorganisatie hetbest kan garanderen dat haar klanten de producten en diensten krijgen die zijverlangen. Het doel van ITIL is meer grip te krijgen op de kwaliteit van de ITdienstverlening.Het beoogt een kwaliteitssysteem te zijn voor het beheren van de IT-infrastructuur. ITILbeschrijft processen, die bij een adequate implementatie de kwaliteit van dedienstverlening voor de afnemers zeker stelt.Er moet echter wel aan de volgende randvoorwaarden worden voldaan: omdat ITIL uitsluitend logische procesbeschrijvingen geeft, maar niet ingaat opde aspecten als het beleggen van verantwoordelijkheden en criteria voor deinrichting, stelt dit hoge eisen aan de inrichting van de organisatie en de sizingvan ITIL, om het tot een werkend en vooral werkbare systematiek te vormen; ITIL beperkt zich tot het beschrijven van de beheerprocessen. Uitvoerende ITtakenworden niet beschreven en ook de beheerprocessen aan degebruikerskant komen niet aan de orde.Het basisprincipe van ITIL is, dat de IT service organisaties diensten levert aan deafnemer (gebruikersorganisatie) tegen gerechtvaardigde kosten. ITIL geeft geenharde koppeling tussen de te verlenen diensten en de vergoeding die hiervoorgegeven wordt.Hieronder worden de ITIL-processen genoemd: Strategisch niveau: Management-processen Tactisch niveau: Planning- en sturingsprocessen (service delivery set) Operationeel niveau: Ondersteuningsprocessen (service support set) Operationeel niveau: Operationele beheerprocessenDe tactische processen zorgen in overleg met de klant voor een detaillering vanafspraken en de plannen die nodig zijn voor de IT-dienstverlening. Service levelmanagement is een belangrijk proces op tactisch niveau.Beveiliging en beheerOrganisaties zijn voor het functioneren steeds sterker afhankelijk van IT. Daarommoeten eisen worden gesteld aan informatiebeveiliging. Deze eisen wordenopgelegd aan de aanbieder van IT-diensten. De SLA is hiervoor een goedcommunicatiekanaal. Het ITIL proces Security Management geeft de structureleinpassing van beveiliging in de beheerorganisatie en zorgt ervoor dat dedienstverlening op beveiligingsgebied op het met de klanten afgesproken niveaublijvend worden geboden. Beveiliging en beheer zijn onafscheidbaar. Zonder eengoed ingericht beheer is beveiliging niet mogelijk en vice versa.Het ITIL Security Management is mede gebaseerd op de Code voorInformatiebeveiliging.Afstudeerscriptie team <strong>801</strong> blz. 39 van 49
Page 5 and 6: InhoudsopgaveColofon ______________
Page 7 and 8: De relatie tussen de gebruikersorga
Page 9 and 10: OnderzoeksmethodenDe methode van on
Page 11 and 12: 2 Theoretisch kader SLA’s en beve
Page 13 and 14: 2.2.2 Kenmerken/typering van de IT-
Page 15: Onderstaande figuur geeft de indeli
Page 18 and 19: 2.6.2 BetrokkenenHet is belangrijk
Page 20 and 21: 3 Uitkomsten praktijkonderzoek3.1 I
Page 22 and 23: Dit is aangegeven als vanzelfspreke
Page 24 and 25: 3.5 Inhoud van een SLA (beveiliging
Page 26 and 27: Er zijn ook enkele verschillen te c
Page 28 and 29: 5 Conclusies en aanbevelingenDit ho
Page 30 and 31: LiteratuurlijstDe opgenomen nummers
Page 32 and 33: 2.2.3 Onderwerp van overeenkomstAan
Page 34 and 35: 2.9 Aanpassingen van de SLA2.9.1 Wi
Page 36 and 37: 2.11.4 GeschillenBeschrijving van h
Page 40 and 41: In ITIL wordt het perspectief gekoz
Page 42 and 43: Bijlage 3 - gehanteerde gestructure
Page 44 and 45: Inhoud specifiek m.b.t. beveiliging
Page 46 and 47: Inhoud van eenSLA (beveiliging)Begr
Page 48 and 49: Samenstellen SLAHet gebruik maken v

20080325 - 801 - Scriptie - definitief - Vurore

Create successful ePaper yourself

Delete template?

Save as template?